Перенос контроллера домена с 2020 на 2020 r2 инструкция: Замена контроллера домена. Перенос контроллера домена на новый компьютер.
Замена контроллера домена. Перенос контроллера домена на новый компьютер.
UPD: Создал видеоканал на youtube куда постепенно выкладываю обучающие видео по всем областям ИТ, в которых хорошо разбираюсь, подписывайтесь: http://www.youtube.com/user/itsemaev
UPD2: Микрософт традиционно меняет привычный синаксис в командной строке, поэтому роли в кажлый версии Windows Server могут звучать по-разному. Они вообще теперь не fsmo называются а operation masters. Так вот, для корректных команд в консоли после fsmo maintenance напишите просто ? и он вам покажет доступные команды.
У меня в апрельский журнал «Системный администратор» взяли статью на тему «Безболезненная замена устаревшего или отказавшего контроллера домена на базе Windows Server»
И даже сто долларов заплатили и дали пакет с мозгами)) Я теперь Онотоле.
Безболезненная замена устаревшего или отказавшего контроллера домена на базе Windows Server. (кому вдруг надо — картинки пришлю)
Если ваш контроллер домена вышел из строя или полностью устарел и требует замены – не спешите планировать провести ближайшие выходные за созданием нового домена на новом сервере и кропотливым переносом в него пользовательских машин. Грамотное управление резервным контроллером домена поможет быстро и безболезненно заменить предыдущий сервер.
Практически каждый администратор, работающий с серверами на базе Windows, рано или поздно сталкивается с необходимостью замены полностью устаревшего основного контроллера домена, дальнейший апгрейд которого больше не имеет смысла, на новый и более соответствующий современным требованиям. Бывают ситуации и хуже – контроллер домена просто-напросто приходит в негодность из-за поломок на физическом уровне, а резервные копии и образы устарели, или потерялись
В принципе, описание процедуры замены одного контроллера домена на другой можно найти на разных форумах, но информация даётся отрывками и, как правило, применима только к конкретной ситуации, однако фактического решения не даёт. Кроме того, даже вдоволь начитавшись форумов [1], баз знаний [2, 3] и прочих ресурсов на английском языке – я смог грамотно провести процедуру замены контроллера домена без ошибок только с третьего или четвёртого раза.
Таким образом, я хочу привести поэтапную инструкцию замены контроллера домена вне зависимости от того работоспособен он или нет. Единственная разница заключается в том, что при «упавшем» контроллере эта статья поможет только если вы заранее позаботились и развернули резервный контроллер домена.
Подготовка серверов к повышению/понижению роли
Сама процедура создания резервного контроллера домена элементарна – мы просто запускаем на любом сервере сети мастер dcpromo. При помощи мастера dcpromo создаём контроллер домена в существующем домене. В результате проделанных манипуляций мы получаем развернутую службу каталогов AD на нашем дополнительном сервере (я буду называть его pserver, а основной контроллер — dcserver).
Дальше, если dcpromo сам не предложил – запускаем установку DNS сервера. Никаких настроек изменять не надо, зону создавать также не надо – она хранится в AD, и все записи автоматически реплицируются на резервный контроллер. Внимание – основная зона в DNS появится только после репликации, для ускорения которой сервер можно перезагрузить. В настройках TCP/IP сетевой карты резервного контроллера домена адресом первичного DNS сервера должен быть указан ip-адрес основного контроллер домена.
Теперь можно легко проверить работоспособность резервного контроллера домена pserver. Мы можем создать пользователя домена как на основном так и на резервном контроллере домена. Сразу после создания он появляется на дублирующем сервере, но где-то в течении минуты (пока происходит репликация) – он показан как отключенный, после чего начинает отображаться одинаково на обоих контроллерах.
На первый взгляд все действия по созданию исправной схемы взаимодействия нескольких контроллеров домена выполнены, и теперь, в случае выхода из строя «основного» контроллера домена, «резервные» контроллеры будут автоматически выполнять его функции. Однако, хотя разница между «основным» и «резервным» контроллерами домена чисто номинальная, «основной» контроллер домена имеет ряд особенностей (роли FSMO), о которых не стоит забывать. Таким образом, вышеприведенных операций для нормального функционирования службы каталогов при отказе «основного» контроллера домена не достаточно, и действия, которые надо произвести для грамотной передачи/захвата роли основного контроллера домена будут описаны ниже.
Немного теории
Нужно знать, что контроллеры домена Active Directory исполняют несколько видов ролей. Эти роли называются FSMO (Flexible single-master operations):
— Schema Master (Хозяин схемы) – роль отвечает за возможность изменения схемы – например разворачивания Exchange server или ISA server. Если владелец роли будет недоступен – схему существующего домена вы изменить не сможете;
— Domain Naming Master (Хозяин операции именования доменов) – роль необходима в том случае, если в вашем доменном лесу есть несколько доменов или поддоменов. Без неё не получится создавать и удалять домены в едином доменном лесу;
— Relative ID Master (Хозяин относительных идентификаторов) – отвечает за создание уникального ID для каждого объекта AD;
— Primary Domain Controller Emulator (Эмулятор основного контроллера домена) – именно он отвечает за работу с учётными записями пользователей и политику безопасности. Отсутствие связи с ним позволяет входить на рабочие станции со старым паролем, который нельзя сменить, если контроллер домена «упал»;
— Infrastructure Master (Хозяин Инфраструктуры) – роль отвечает за передачу информации об объектах AD прочим контроллерам домена в рамках всего леса.
Об этих ролях достаточно подробно написано во многих базах знаний, но основную роль практически всегда забывают – это роль Global Catalog (Глобального Каталога). По факту этот каталог просто запускает LDAP сервис на порту 3268, но именно его недоступность не позволит доменным пользователям входить в систему. Что примечательно – роль глобального каталога могут иметь все контроллеры домена одновременно.
Фактически можно сделать вывод – если у вас примитивный домен на 30-50 машин, без расширенной инфраструктуры, не включающий в себя поддомены — то отсутствие доступа к владельцу/владельцам первых двух ролей вы можете не заметить. Кроме того, мне несколько раз попадались организации, работающие больше года вообще без контроллера домена, но в доменной инфраструктуре. То есть все права были розданы давно, при работающем контроллере домена, и не нуждались в изменении, пароли пользователи себе не меняли и спокойно работали.
Определение текущих владельцев ролей fsmo.
Уточняю — мы грамотно хотим заменить контроллер домена, не потеряв никаких его возможностей. В том случае, если в домене два или более контроллеров, нам необходимо выяснить кто является обладателем каждой из ролей fsmo. Это достаточно просто сделать, использовав следующие команды:
dsquery server –hasfsmo schema
dsquery server – hasfsmo name
dsquery server – hasfsmo rid
dsquery server – hasfsmo pdc
dsquery server – hasfsmo infr
dsquery server –forest -isgc
Каждая из команд выводит нам информацию о том, кто является владельцем запрашиваемой роли (рис.1). В нашем случае владелец всех ролей – основной контроллер домена dcserver.
Добровольная передача ролей fsmo при помощи консолей Active Directory.
Вся информация, необходимая для передачи роли основного контроллера домена у нас есть. Приступаем: для начала нужно убедиться в том, что наша учётная запись входит в группы «Администраторы домена», «Администраторы схемы» и «Администраторы предприятия», а затем приступить к традиционному методу передачи ролей fsmo – управлением доменом через консоли Active Directory.
Для передачи роли “хозяина именования домена” выполняем следующие шаги:
— открываем «Active Directory Домены и Доверие» на том контроллере домена, с которого мы хотим передать роль. Если мы работаем с AD на том контроллере домена, которому мы хотим передать роль, то следующий пункт пропускаем;
— щёлкаем правой кнопкой мыши на значке Active Directory — домены и доверие и выбираем команду Подключение к контроллеру домена. Выбираем тот контроллер домена, которому хотим передать роль;
— щелкаем правой кнопкой мыши компонент Active Directory — домены и доверие и выбираем команду Хозяева операций;
— в диалоговом окне Изменение хозяина операций нажимаем кнопку Изменить (рис. 2).
— после утвердительного ответа на всплывающий запрос получаем успешно переданную роль.
Аналогичным образом, при помощи консоли «Active Directory — пользователи и компьютеры» можно передать роли «хозяин RID», «основной контроллер домена» и «хозяин инфраструктуры».
Для передачи роли «хозяина схемы» необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory:
regsvr32 schmmgmt.dll
Далее в консоль mmc необходимо добавить оснастку «Схема Active Directory», в которой, аналогично предыдущим пунктам, можно изменить владельца роли.
После того как все роли переданы остаётся разобраться с оставшейся опцией – хранителем глобального каталога. Заходим в Active Directory: «Сайты и Службы», сайт по умолчанию, сервера, находим контроллер домена, ставший основным, и в свойствах его NTDS settings ставим галочку напротив global catalog. (рис. 3)
Итог – мы поменяли хозяев ролей для нашего домена. Кому нужно окончательно избавиться от старого контроллера домена – понижаем его до рядового сервера. Однако простота проделанных действий окупается тем, что их выполнение в ряде ситуаций невозможно, или оканчивается ошибкой. В этих случаях нам поможет ntdsutil.exe.
Добровольная передача ролей fsmo при помощи консолей ntdsutil.exe.
На случай, если передача ролей fsmo при помощи консолей AD не удалась, Microsoft создал очень удобную утилиту – ntdsutil.exe – программа обслуживания каталога Active Directory. Этот инструмент позволяет выполнять чрезвычайно полезные действия – вплоть до восстановления всей базы данных AD из резервной копии, которую эта утилита сама создала во время последнего изменения в AD. Со всеми её возможностями можно ознакомиться в базе знаний Microsoft (Код статьи: 255504). В данном случае мы говорим о том, что утилита ntdsutil.exe позволяет как передавать роли, так и «отбирать» их.
Если мы хотим передать роль от существующего «основного» контроллера домена к «резервному» – мы заходим в систему на &la
Замена контроллера домена. Перенос контроллера домена.
Как говориться «вдруг откуда ни возьмись появился …. ….», ни чего ни предвещало беды, но тут начал глючить основной контроллер домена, и пока он еще дышал решил делегировать права основного домена на другой.
На просторах internet’a нашел очень хорошую статью, даже с картинками 🙂 как это можно релизовать, плюс свои небольшие заметки и наброски.
Если ваш контроллер домена вышел из строя или полностью устарел и требует замены – не спешите планировать провести ближайшие выходные за созданием нового домена на новом сервере и кропотливым переносом в него пользовательских машин. Грамотное управление резервным контроллером домена поможет быстро и безболезненно заменить предыдущий сервер.
Практически каждый администратор, работающий с серверами на базе Windows, рано или поздно сталкивается с необходимостью замены полностью устаревшего основного контроллера домена, дальнейший апгрейд которого больше не имеет смысла, на новый и более соответствующий современным требованиям. Бывают ситуации и хуже – контроллер домена просто-напросто приходит в негодность из-за поломок на физическом уровне, а резервные копии и образы устарели, или потерялись
В принципе, описание процедуры замены одного контроллера домена на другой можно найти на разных
форумах, но информация даётся отрывками и, как правило, применима только к конкретной ситуации, однако фактического решения не даёт. Кроме того, даже вдоволь начитавшись форумов, баз знаний и прочих ресурсов на английском языке – я смог грамотно провести процедуру замены контроллера домена без ошибок только с третьего или четвёртого раза.
Таким образом, я хочу привести поэтапную инструкцию замены контроллера домена вне зависимости от того работоспособен он или нет. Единственная разница заключается в том, что при «упавшем» контроллере эта статья поможет только если вы заранее позаботились и развернули резервный контроллер домена.
Подготовка серверов к повышению/понижению роли
Сама процедура создания резервного контроллера домена элементарна – мы просто запускаем на любом сервере сети мастер dcpromo. При помощи мастера dcpromo создаём контроллер домена в существующем домене. В результате проделанных манипуляций мы получаем развернутую службу каталогов AD на нашем дополнительном сервере (я буду называть его pserver, а основной контроллер — dcserver).
Дальше, если dcpromo сам не предложил – запускаем установку DNS сервера. Никаких настроек изменять не надо, зону создавать также не надо – она хранится в AD, и все записи автоматически реплицируются на резервный контроллер. Внимание – основная зона в DNS появится только после репликации, для ускорения которой сервер можно перезагрузить. В настройках TCP/IP сетевой карты резервного контроллера домена адресом первичного DNS сервера должен быть указан ip-адрес основного контроллер домена.
Теперь можно легко проверить работоспособность резервного контроллера домена pserver. Мы можем создать пользователя домена как на основном так и на резервном контроллере домена. Сразу после создания он появляется на дублирующем сервере, но где-то в течении минуты (пока происходит репликация) – он показан как отключенный, после чего начинает отображаться одинаково на обоих контроллерах.
На первый взгляд все действия по созданию исправной схемы взаимодействия нескольких контроллеров домена выполнены, и теперь, в случае выхода из строя «основного» контроллера домена, «резервные» контроллеры будут автоматически выполнять его функции. Однако, хотя разница между «основным» и «резервным» контроллерами домена чисто номинальная, «основной» контроллер домена имеет ряд особенностей (роли FSMO), о которых не стоит забывать. Таким образом, вышеприведенных операций для нормального функционирования службы каталогов при отказе «основного» контроллера домена не достаточно, и действия, которые надо произвести для грамотной передачи/захвата роли основного контроллера домена будут описаны ниже.
Немного теории
Нужно знать, что контроллеры домена Active Directory исполняют несколько видов ролей. Эти роли называются FSMO (Flexible single-master operations):
— Schema Master (Хозяин схемы) – роль отвечает за возможность изменения схемы – например разворачивания Exchange server или ISA server. Если владелец роли будет недоступен – схему существующего домена вы изменить не сможете;
— Domain Naming Master (Хозяин операции именования доменов) – роль необходима в том случае, если в вашем доменном лесу есть несколько доменов или поддоменов. Без неё не получится создавать и удалять домены в едином доменном лесу;
— Relative ID Master (Хозяин относительных идентификаторов) – отвечает за создание уникального ID для каждого объекта AD;
— Primary Domain Controller Emulator (Эмулятор основного контроллера домена) – именно он отвечает за работу с учётными записями пользователей и политику безопасности. Отсутствие связи с ним позволяет входить на рабочие станции со старым паролем, который нельзя сменить, если контроллер домена «упал»;
— Infrastructure Master (Хозяин Инфраструктуры) – роль отвечает за передачу информации об объектах AD прочим контроллерам домена в рамках всего леса.
Об этих ролях достаточно подробно написано во многих базах знаний, но основную роль практически всегда забывают – это роль Global Catalog (Глобального Каталога). По факту этот каталог просто запускает LDAP сервис на порту 3268, но именно его недоступность не позволит доменным пользователям входить в систему. Что примечательно – роль глобального каталога могут иметь все контроллеры домена одновременно.
Фактически можно сделать вывод – если у вас примитивный домен на 30-50 машин, без расширенной инфраструктуры, не включающий в себя поддомены — то отсутствие доступа к владельцу/владельцам первых двух ролей вы можете не заметить. Кроме того, мне несколько раз попадались организации, работающие больше года вообще без контроллера домена, но в доменной инфраструктуре. То есть все права были розданы давно, при работающем контроллере домена, и не нуждались в изменении, пароли пользователи себе не меняли и спокойно работали.
Определение текущих владельцев ролей fsmo.
Уточняю — мы грамотно хотим заменить контроллер домена, не потеряв никаких его возможностей. В том случае, если в домене два или более контроллеров, нам необходимо выяснить кто является обладателем каждой из ролей fsmo. Это достаточно просто сделать, использовав следующие команды:
dsquery server –hasfsmo schema
dsquery server – hasfsmo name
dsquery server – hasfsmo rid
dsquery server – hasfsmo pdc
dsquery server – hasfsmo infr
dsquery server –forest -isgc
Каждая из команд выводит нам информацию о том, кто является владельцем запрашиваемой роли (рис.1).
В нашем случае владелец всех ролей – основной контроллер домена dcserver.
Добровольная передача ролей fsmo при помощи консолей Active Directory.
Вся информация, необходимая для передачи роли основного контроллера домена у нас есть. Приступаем: для начала нужно убедиться в том, что наша учётная запись входит в группы «Администраторы домена», «Администраторы схемы» и «Администраторы предприятия», а затем приступить к традиционному методу передачи ролей fsmo – управлением доменом через консоли Active Directory.
Для передачи роли “хозяина именования домена” выполняем следующие шаги:
— открываем «Active Directory Домены и Доверие» на том контроллере домена, с которого мы хотим передать роль. Если мы работаем с AD на том контроллере домена, которому мы хотим передать роль, то следующий пункт пропускаем;
— щёлкаем правой кнопкой мыши на значке Active Directory — домены и доверие и выбираем команду Подключение к контроллеру домена. Выбираем тот контроллер домена, которому хотим передать роль;
— щелкаем правой кнопкой мыши компонент Active Directory — домены и доверие и выбираем команду Хозяева операций;
— в диалоговом окне Изменение хозяина операций нажимаем кнопку Изменить (рис. 2).
— после утвердительного ответа на всплывающий запрос получаем успешно переданную роль.
Аналогичным образом, при помощи консоли «Active Directory — пользователи и компьютеры» можно передать роли «хозяин RID», «основной контроллер домена» и «хозяин инфраструктуры».
Для передачи роли «хозяина схемы» необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory:
regsvr32 schmmgmt.dll
Далее в консоль mmc необходимо добавить оснастку «Схема Active Directory», в которой, аналогично предыдущим пунктам, можно изменить владельца роли.
После того как все роли переданы остаётся разобраться с оставшейся опцией – хранителем глобального каталога. Заходим в Active Directory: «Сайты и Службы», сайт по умолчанию, сервера, находим контроллер домена, ставший основным, и в свойствах его NTDS settings ставим галочку напротив global catalog. (рис. 3)
итог – мы поменяли хозяев ролей для нашего домена. Кому нужно окончательно избавиться от старого контроллера домена – понижаем его до рядового сервера. Однако простота проделанных действий окупается тем, что их выполнение в ряде ситуаций невозможно, или оканчивается ошибкой. В этих случаях нам поможет ntdsutil.exe.
Добровольная передача ролей fsmo при помощи консолей ntdsutil.exe.
На случай, если передача ролей fsmo при помощи консолей AD не удалась, Microsoft создал очень удобную утилиту – ntdsutil.exe – программа обслуживания каталога Active Directory. Этот инструмент позволяет выполнять чрезвычайно полезные действия – вплоть до восстановления всей базы данных AD из резервной копии, которую эта утилита сама создала во время последнего изменения в AD. Со всеми её возможностями можно ознакомиться в базе знаний Microsoft (Код статьи: 255504). В данном случае мы говорим о том, что утилита ntdsutil.exe позволяет как передавать роли, так и «отбирать» их.
Если мы хотим передать роль от существующего «основного» контроллера домена к «резервному» – мы заходим в систему на «основной» контроллер и начинаем передавать роли (команда transfer).
Если у нас по каким-то причинам отсутствует основной контролер домена, или мы не можем войти под административной учетной записью – мы входим в систему на резервный контроллер домена и начинаем «отбирать» роли (команда seize).
Итак первый случай – основной контроллер домена существует и функционирует нормально. Тогда мы заходим на основной контроллер домена и набираем следующие команды:
ntdsutil.exe
roles
connections
connect to server имя_сервера (того кому хотим отдать роль)
q
Если выскакивают ошибки – нужно проверить связь с тем контроллером домена, к которому мы пытаемся подключиться. Если ошибок нет – значит мы успешно подключились к указанному контроллеру домена с правами того пользователя, от имени которого вводим команды.
Полный список команд доступен после запроса fsmo maintenance стандартным знаком ? . Пришла пора передавать роли. Я сходу, не задумываясь, решил передавать роли в том порядке, в каком они указаны в инструкции к ntdsutil и пришёл к тому, что не смог передать роль хозяина инфраструктуры. Мне, в ответ на запрос о передаче роли, возвращалась ошибка: «невозможно связаться с текущим владельцем роли fsmo». Я долго искал информацию в сети и обнаружил, что большинство людей дошедших до этапа передачи ролей сталкиваются с этой ошибкой. Часть из них пытается отобрать эту роль принудительно (не выходит), часть оставляет всё как есть – и благополучно живёт без этой роли.
Я же путём проб и ошибок выяснил, что при передаче ролей в данном порядке гарантируется корректное завершение всех шагов:
— хозяин идентификаторов;
— хозяин схемы;
— хозяин именования;
— хозяин инфраструктуры;
— контроллер домена;
После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo maintenance), и можем начать передавать роли :
— transfer domain naming master
— transfer infrastructure master
— transfer rid master
— transfer schema master
— transfer pdc master
После выполнения каждой команды должен выходить запрос о том – действительно ли мы хотим передать указанную роль указанному серверу. Результат удачного выполнения команды показан на (рис.4).
Роль хранителя глобального каталога передаётся способом, описанным в предыдущем разделе.
Принудительное присваивание ролей fsmo при помощи ntdsutil.exe.
Второй случай – мы хотим присвоить нашему резервному контроллеру домена роль основного. В этом случае ничего не меняется – единственная разница в том, что мы проводим все операции, с использованием команды seize, но уже на том сервере, которому хотим передать роли для присвоения роли.
seize naming master
seize infrastructure master
seize rid master
seize schema master
seize pdc
Обратите внимание – если вы отобрали роль у контроллера домена, отсутствующего в данный момент, то при его появлении в сети контроллеры начнут конфликтовать, и проблем в функционировании домена вам не избежать.
Работа над ошибками.
Самое главное, о чём не следует забывать – новый основной контроллер домена сам себе настройки TCP/IP не исправит: ему адресом первичного DNS сервера теперь желательно (а если старый контроллер домена + DNS сервер будут отсутствовать, то обязательно) указать 127.0.0.1 .При этом если у вас в сети есть DHCP сервер, то нужно заставить его выдавать адресом первичного DNS сервера ip вашего нового сервера, если DHCP нет – пройтись по всем машинам и прописать им этот первичный DNS вручную. Как вариант, можно назначить новому контроллеру домена тот же ip что был у старого.Теперь необходимо проверить как всё работает и избавиться от основных ошибок. Для этого я предлагаю на обоих контроллерах стереть все события с сохранением журналов в папку с прочими резервными копиями и перезагрузить все сервера.После их включения внимательно анализируем все журналы событий на факт появления предупреждений и ошибок.Самым распространённым предупреждением, после передачи ролей fsmo, является сообщение о том, что «msdtc не может корректно обработать произошедшее повышение/понижение роли контроллера домена».Исправляется просто: в меню «Администрирование» находим «Службы компонентов». Там раскрываем «Службы компонентов», «Компьютеры», открываем свойства раздела «Мой компьютер», ищем там «MS DTC» и жмем там «Настройки безопасности». Там разрешаем «Доступ к сети DTC» и давим ОК. Служба будет перезапущена и предупреждение исчезнет.
Примером ошибки может служить сообщение о том, что основная DNS зона не может быть загружена, либо DNS сервер не видит контроллер домена.
Разобраться в проблемах функционирования домена можно при помощи утилиты dcdiag (рис. 5).
Установить эту утилиту можно с оригинального диска Windows 2003 из папки /support/tools. Утилита позволяет проверить работоспособность всех служб контроллера домена, каждый её этап должен оканчиваться словами successfully passed. Если у вас выходит failed (чаще всего это тесты connection или systemlog) то ошибку можно попробовать вылечить в автоматическом режиме:
dcdiag /v /fix
Как правило, все ошибки, связанные с DNS должны пропасть. Если нет – пользуемся утилитой проверки состояния всех сетевых служб:
netdiag
И её полезным инструментом устранения ошибок:
netdiag /v /fix
Если и после этого остаются ошибки связанные с DNS – проще всего удалить из него все зоны и создать вручную. Это довольно просто – главное создать основную зону по имени домена, хранящуюся в Active Directory и реплицируемую на все контроллеры домена в сети.
Более подробную информацию об ошибках DNS даст ещё одна команда:
dcdiag /test:dns
По окончанию проделанных работ у меня ушло ещё где-то 30 минут на выяснение причины появления ряда предупреждений – я разобрался с синхронизацией времени, архивацией глобального каталога и прочими вещами, до которых раньше не доходили руки. Теперь всё работает как часы – самое главное не забудьте завести резервный контроллер домена, если вы хотите удалить старый контроллер домена из сети.
Перенос контроллера домена на новый сервер
Довольно часто перед начинающими администраторами встает задача перенести контроллер домена на новое железо. В статье будет описан перенос контроллера домена под управлением Windows 2003 на новый сервер с установленной операционной системой Windows 2003. Переносить можно как с сохранением имени старого сервера, так и без сохранения имени. Статья рассчитана на совсем уж новичков, поэтому все будет разжевано.
Исходные данные:
- Домен: company.local;
- Старый сервер: Win2003, AD, DNS, DHCP, IP=192.168.0.100, имя=dc01;
- Новый сервер: Win2003, IP=192.168.0.101, имя=dc02;
Итак, приступим.
1. Проверка действующего контроллера домена
На старом сервере запускаем утилиты dcdiag и netdiag и убеждаемся что никаких ошибок они не находят. Эти утилиты входят в состав Support Tools и если при запуске одной из утилит выскакивает сообщение
'название утилиты' is not recognized as an internal or external command, operable program or batch file.
, то их необходимо установить. Либо с установочного диска Windows 2003, либо с официального сайта. Если никаких ошибок не обнаружено, то идем дальше, если же появляются ошибки, то исправляем их. В принципе достаточно воспользоваться поиском по каждой из ошибок и найти решение.
2. Установка дополнительного контроллера домена
Далее необходимо поднять дополнительный контроллер домена на новом сервере (тот который 192.168.0.101). Для этого нужно запустить (Пуск—>Выполнить или Start—>Run) на нем команду
dcpromo
и в появившемся окне выбрать Additional domain controller for an existing domain
После установки AD, перезагружаемся.
3. Установка DNS и DHCP
Устанавливаем DNS и если нужно, то DHCP на новый сервер. Заходим в Установку и удаление программ (Add or Remove Programs) и выбираем пункт установка компонентов Windows (Add/Remove Windows Components). В разделе Сетевые службы (Network Services) ставим галочки напротив DNS и DHCP и устанавливаем их.
Вполне вероятно что при установке AD, заодно поставился и DNS, поэтому не пугайтесь если DNS уже установлен.
На обоих контроллерах домена выставляем в настройках DNS, адрес нового сервера.
4. Перенос базы DHCP
Если нужно перенести базу DHCP, на старом сервере выполняем команду:
netsh dhcp server export C:\dhcp.txt all
переносим полученный файл на новый сервер и на новом сервере выполняем команду:
netsh dhcp server import C:\dhcp.txt all
Ну и соответственно в настройках DHCP выставляем всем клиентам DNS адрес нового сервера 192.168.0.101
5. Проверка контроллеров домена на ошибки
После всех предыдущих манипуляций, ждем минут 15-20, чтобы дать новому серверу перенести все настройки и записи в AD со старого. После чего, запускаем на обоих серверах уже знакомые нам утилиты dcdiag и netdiag и убеждаемся в отсутствии ошибок.
6. Перемещение Global Catalog
Теперь настала очередь перенести Global Catalog на новый сервер. Открываем на новом сервере Active Directory — сайты и службы (Sites and Services) —> Сайты (Sites) —> имя_сайта —> Серверы (Servers). Выбираем новый контроллер домена и в правом окне на объекте NTDS Settings выбираем Свойства (Properties). В появившемся окне ставим галку Global Catalog.
Ждем минут 5-10, в логах должно будет появиться сообщение This domain controller is now a global catalog, после чего можно удалять Global Catalog на старом сервере. Процедура таже, только теперь выбираем старый сервер и снимаем галку Global Catalog.
7. Перенос ролей FSMO
Для начала посмотрим, кто же все таки является держателем ролей FSMO-ролей в домене, в этом нам поможет команда:
netdom query fsmo
Результат будет примерно таким:
Schema owner dc01.company.local Domain role owner dc01.company.local PDC role dc01.company.local RID pool manager dc01.company.local Infrastructure owner dc01.company.local The command completed successfully.
Как видно из вывода, держателем ролей является наш старый сервер dc01. Исправим это недоразумение. Все дальнейшие действия производим на новом сервере.
Передача ролей хозяин RID, основной контроллер домена и хозяин инфраструктуры
Открываем оснастку Active Directory — пользователи и компьютеры (Users and Computers), щелкаем правой кнопкой по имени сайта и выбираем меню Хозяева операций (Operations Masters). В появившемся окне, на всех 3-х вкладках жмем на кнопку изменить (change) и соглашаемся с применением изменений.
Передача роли хозяина именования домена
Открываем оснастку Active Directory — домены и доверие (Domain and Trusts), и точно так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений.
Передача роли хозяина схемы
С передачей этой роли все происходит немного посложнее. Для начала нужно зарегистрировать в системе библиотеку schmmgmt.dll. Для этого выполняем команду:
regsvr32 schmmgmt.dll
Далее запускаем оснастку mmc:
mmc
и в появившемся окне в меню файл выбираем пункт Добавить или удалить оснастку (Add/Remove Snap-in). Далее Добавить (Add) и Схема Active Directory (Active Directory Schema).
И добавляем схему. Далее так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений. Если в поле изменить будет стоять адрес старого сервера, то достаточно выбрать пункт меню Изменение контролера домена (Change Domain Controller) и выбрать новый домен контроллер, после чего опять попытаться изменить хозяина.
Запускаем команду:
netdom query fsmo
И видим:
Schema owner dc02.company.local Domain role owner dc02.company.local PDC role dc02.company.local RID pool manager dc02.company.local Infrastructure owner dc02.company.local The command completed successfully.
Ну что, все роли успешно перенесены на новый сервер.
8. Удаление старого контроллера домена
Теперь настала пора удалить старый домен контроллер из сети. Запускаем:
dcpromo
и следуя мастеру, удаляем старый домен контроллер и все его упоминания из сети. После этого старый сервер можно погасить или отправить его выполнять другие обязанности.
P.S. Если вам нужно перенести AD из старого сервера на новый, причем с сохранением имени старого сервера, то тут вам поможет еще один промежуточный сервер. Сначала делаете все эти операции с ним, выводите старый сервер из домена, заводите новый сервер с именем старого и проделываете эти же операции еще раз.
Миграция роли Active Directory и перенос контроллера домена на другой сервер « Retifff’s Blog
Введение
Как недавно выяснилось, процесс миграции домена с Windows Server 2003 на Windows Server 2008/R2 (либо просто на другой сервер) для начинающих системных администраторов представляет сложности и даже вызывает некоторую боязнь, хотя на самом деле он настолько прост, что о написании такой статьи я даже и не задумывался никогда, тем более что в интернете их полно.
Тем не менее, целью данной статьи было объединить типовые действия, возникающие при миграции, поэтому приступим. Статья будет представлять собой пошаговый мануал, с наиболее распространенным случаем миграции с 2003 на 2008 R2 и с необходимыми отступлениями для других вариантов. Собственно шаги:
Исходные данные и техзадание
Иходная ситуация — существует домен, testcompany.local. Для упрощения в нем будет один контроллер домена под Windows Server 2003, с именем dc01. DNS-сервер также на нем, основная зона интегрирована в Active Directory.
Сетевые настройки контроллера:
IP-адрес — 192.168.1.11
Маска — 255.255.255.0
Шлюз — 192.168.1.1
DNS-сервер — 192.168.1.11
Задача — установить контроллер домена на другом сервере, причем работающем под Windows Server 2008 R2, старый контроллер понизить до рядового сервера (а затем возможно, удалить вообще), а все функции старого контроллера передать новому.
Подготовительные работы
В качестве подготовительных работ следует запустить команды netdiag (эта команда существует только в 2003 Server, Support Tools) и dcdiag, убедиться в отсутствии ошибок, а при их наличии исправить эти ошибки.
В первую очередь определяем держателя FSMO-ролей в домене, командой:
netdom query fsmo
Утилита netdom.exe в состав Windows Server 2003 по умолчанию не входит, поэтому нужно установить Support Tools (http://support.microsoft.com/kb/926027). В рассматриваемом случае от нее смысла никакого нет, так как контроллер домена всего один и роли FSMO все равно все на нем. Тем же, у кого контроллеров домена больше одного, это будет полезно, чтобы знать, какие именно роли и откуда переносить. Результат команды будет примерно таким:
Далее, устанавливаем операционную систему Windows Server 2008 R2 на новый сервер, даем имя скажем dc02, задаем сетевые настройки:
IP-адрес — 192.168.1.12
Маска — 255.255.255.0
Шлюз — 192.168.1.1
DNS-сервер — 192.168.1.11
и вводим его в существующий домен, testcompany.local в нашем случае.
Обновление схемы леса и домена
Следующий этап — обновление схемы леса и домена до Windows Server 2008 R2, что мы будем делать с помощью утилиты adprep. Вставляем установочный диск с Windows Server 2008 R2 в сервер dc01. На диске нас интересует папка X:\support\adprep (X: — буква диска DVD-ROM). Если windows Server 2003 у вас 32-х битная, следует запускать запускать adprep32.exe, в случае 64-х битной — adprep.exe.
Для выполнения команды adprep /forestprep никаких требований к функциональному режиму леса нет. Для выполнения команды adprep /domainprep требуется, чтобы в домене использовался функциональный уровень домена не ниже Windows 2000 native.
Вводим команду:
X:\support\adprep>adprep32.exe /forestprep
После предупреждения о том, что все контроллеры домена Windows 2000 должны быть минимум с SP4 вводим С и нажимаем Enter:
Команда отрабатывает довольно долго, несколько минут и должна завершиться следующей фразой:
Adprep successfully updated the forest-wide information.
После этого вводим команду:
X:\support\adprep>adprep32.exe /domainprep /gpprep
Которая отработает не в пример быстрее:
Также стоит выполнить команду adprep /rodcprep. Даже если вы и не собираетесь использовать в вашей сети контроллеры домена только для чтения (Read Only Domain Controller — RODC), эта команда как минимум уберет ненужные сообщения об ошибках в журнале событий.
После завершения действия команд по обновлению схемы можно приступать к повышению роли нового сервера до контроллера домена.
На сервере dc02 заходим в Server Manager, добавляем роль Active Directory Domain Services. После установки роли, зайдя в Server Manager > Roles > Active Directory Domain Services, мы увидим желтую подсказку «Run the Active Directory Domain Services Installation Wizard (dcpromo.exe)». Ее и запускаем. Либо можно в командной строке набрать dcpromo, что будет равноценно вышеприведенному действию.
Так как освещение процесса установки контроллера домена в эту статью не входит, остановлюсь лишь на некоторых ключевых моментах. На шаге Additional Domain Controller Options поставьте обе галки, DNS Server и Global catalog.
Если галку Global Catalog и DNS Server не поставить, придется их переносить отдельно. А при миграции с 2003 на 2003 это придется делать в любом случае, так как в Windows 2003 такой возможности нет. О переносе глобального каталога и DNS-сервера будет немного ниже.
Завершаем установку контроллера домена, перезагружаем сервер. Теперь у нас есть два контроллера домена, работающих одновременно.
Передача ролей FSMO
Передачу ролей FSMO можно производить как через графический интерфейс, так и с помощью утилиты ntdsutil.exe. В этой статье будет описан способ с использованием графического интерфейса, как более наглядный, кого интересует другой способ, он по этой ссылке: http://support.microsoft.com/kb/255504. Передача ролей FSMO будет состоять из следующих шагов:
- Передача роли Schema Master.
- Передача роли Domain Naming Master.
- Передача ролей RID Master, PDC Emulator и Infrastructure Master.
Передача роли Schema Master
Заходим на сервер dc02, на тот, на который будем передавать роли. Для того, чтобы получить доступ к оснастке Active Directory Schema, сначала необходимо зарегистрировать библиотеку schmmgmt.dll. Это делается с помощью команды:
regsvr32 schmmgmt.dll
Далее, Start > Run > вводим mmc > Enter. В окне оснастки находим и добавляем компонент Active Directory Schema.
В дереве оснастки нужно щелкнуть правой кнопкой мыши элемент Active Directory Schema и выбрать пункт Change Domain Controller. Там меняем контроллер на dc02.
Далее опять нажимаем правой кнопкой мыши элемент Active Directory Schema и выбираем пункт Operations Master. Появляется вот такое окно:
Нажимаем Change > Yes > OK и закрываем все эти окна.
Передача роли Domain Naming Master
Открываем оснастку Active Directory Domains and Trusts, щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем команду Change Active Directory Domain Controller. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем пункт Operations Master. В появившемся окне нажимаем кнопку Change.
Чтобы подтвердить передачу роли, нажимаем кнопку ОК, а затем — Close.
Передача ролей RID Master, PDC Emulator и Infrastructure Master
Открываем оснастку Active Directory Users and Computers. Щелкаем правой кнопкой мыши элемент Active Directory Users and Computers и выбираем команду Change Domain Controller. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Users and Computers, выбираем пункт All Tasks, а затем Operations Master.
Выбираем вкладку, соответствующую передаваемой роли (RID, PDC или Infrastructure Master), и нажимаем кнопку Change.
Чтобы подтвердить передачу роли, нажимаем кнопку ОК, а затем — Close.
Перенос глобального каталога
Если мы делаем миграцию не на 2008, а на 2003, в котором при добавлении добавочного контроллера домена глобальный каталог не ставиться, либо вы не поставили галку Global Catalog в шаге 2, тогда нужно назначить роль глобального каталога новому контроллеру домена вручную. Для этого, заходим в оснастку Active Directory Sites and Services, ракрываем Sites > сайт Default-First-Site-Name > Servers > DC02 > щелкаем правой кнопкой мыши по NTDS Settings > Properties. В открывшемся окне ставим галку Global Catalog > OK.
Global Catalog» title=»Active Directory Sites and Services > Global Catalog» class=»aligncenter size-full wp-image-812″ width=»735″ height=»598″>
После этого, в логах Directory Service появится сообщение, что повышение роли контроллера до глобального каталога будет отложено на 5 минут.
Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1110
Date: 12.07.2011
Time: 22:49:31
User: TESTCOMPANY\Administrator
Computer: dc02.testcompany.local
Description:
Promotion of this domain controller to a global catalog will be delayed for the following interval.Interval (minutes):
5This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Ждем пять минут и дожидаемся события 1119 о том, что этот контроллер стал глобальным каталогом.
Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1119
Date: 12.07.2011
Time: 22:54:31
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: dc02.testcompany.local
Description:
This domain controller is now a global catalog.For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Перенастройка интерфейсов, DNS и другие послеустановочные задачи
Далее, так как DNS-сервер на dc02 мы установили, теперь нужно в свойствах сетевого интерфейса первичным DNS-сервером указать самого себя, т.е. адрес 192.168.1.12. И на dc01 соответственно поменять на 192.168.1.12.
В свойствах DNS-сервера на dc02 проверьте вкладку Forwarders, на 2003, в отличие от 2008, она не реплицируется. После этого можно понижать контроллер домена dc01 до рядового сервера.
Если вам необходимо у нового контроллера оставить старое имя и IP-адрес, то это также делается без проблем. Имя меняется как для обычного компьютера, либо подобной командой netdom renamecomputer.
После смены IP-адреса выполните команды ipconfig /registerdns и dcdiag /fix.
Использованные источники:
http://support.microsoft.com/kb/324801/
http://technet.microsoft.com/en-us/library/cc731728(WS.10).aspx
http://technet.microsoft.com/ru-ru/library/upgrade-domain-controllers-to-windows-server-2008-r2(WS.10).aspx#BKMK_FL
Понравилось это:
Нравится Загрузка…
Похожее
This entry was posted on 27.07.2011 в 21:32:02 and is filed under Microsoft.
Отмечено: Active Directory, DNS. You can follow any responses to this entry through the RSS 2.0 feed.
You can leave a response, или trackback from your own site.
Active Directory / Блог компании Microsoft / Хабр
Не секрет, что окончание поддержки Windows Server 2003 все ближе. День Х назначен на 17 июля 2015 года, а значит остается все меньше времени, чтобы успеть перевести свою инфраструктуру на более современные версии операционной системы. На Хабре мы уже делали несколько анонсов об окончании поддержки, на портале Microsoft Virtual Academy опубликован курс по материалам Jump Start, есть перевод статьи о переносе файлового сервера. В этой статье будет рассказано о миграции Active Directory и приведен пошаговый алгоритм, которым поможет вам при реализации переноса.
Перенос Active Directory с Windows Server 2003 на Windows Server 2012 R2 является одной из первоочередных задач, которые необходимо решить в процессе миграции.
На самом деле, перенос Active Directory не несет в себе каких-либо сложностей. Нужно выполнить лишь несколько шагов, о которых будет подробно рассказано далее.
Сначала выполним небольшую настройку на контроллере домена с установленной на нем Windows Server 2003. Обязательно проверьте, что для существующего домена и леса в качестве режима работы (functional level) выбран Windows Server 2003.
Для того, что изменить режим работы домена и леса необходимо запустить оснастку Active Directory Domains and Trust. Для изменения режима работы домена щёлкаем правой кнопкой мыши по домену, для режима работы леса – по Active Directory Domains and Trusts. Выбираем Raise Domain Functional Level и Raise Forest Functional Level соответственно.
В обоих случаях режим работы должен быть установлен на Windows Server 2003.
Следующим шагом нам нужно добавить к нашей сети второй контроллер домена под управлением Windows Server 2012 R2. Для этого на сервер с Windows Server 2012 R2 устанавливаем роль Active Directory Domain Services.
После установки добавим новый контроллер домена к существующему домену. Для этого нам нужно будет использовать учетную запись, которая входит в группу Enterprise Admins и обладает соответствующими правами.
Необходимо указать, будет ли этот сервер выполнять роль DNS сервера и глобального каталога (Global Catalog – GC).
На экране Additional Options нужно указать с какого контроллера домена будет выполнена репликация на существующий. Нужно выбрать контроллер домена под управлением Windows Server 2003.
Для установки домена необходимо выполнить подготовку леса, домена и схемы. Если раньше для этого обязательно нужно было запустить команду adprep (причем сделать это надо было до начала конфигурации домена), то теперь эту задачу берет на себя мастер конфигурации ADDS, и подготовка может быть выполнена автоматически.
Далее нужно дождаться завершения установки и перезагрузить компьютер. В итоге, вы получите контроллер домена с установленной на нем Windows Server 2012 R2.
Теперь в оснастке Active Directory Users and Computers мы можем увидеть, что в нашей сети есть два контроллера домена.
После того, как выполнены предварительные шаги, мы можем перейти непосредственно к переносу Active Directory. Выполнять необходимые действия мы будем на контроллере домена под управлением Windows Server 2012 R2 в следующем порядке:
- Перенос роли FSMO (Flexible Single Master Operations)
- Изменение контроллера домена Active Directory
- Изменение Мастера схемы (Schema Master)
- Удаление контроллера домена под управлением Windows Server 2003 из глобального каталога (Global Catalog)
1. Перенос роли FSMO (Flexible Single Master Operations)
Для того, чтобы перенести роль FSMO, открываем оснастку Active Directory Users and Computers, щёлкаем правой кнопкой мышки по нашему домену и в появившемся подменю выбираем Operations Masters.
Нам нужно перенести роль хозяина операций. Для этого на каждой вкладке во вновь появившемся окне нажимаем кнопку Change и переносим роль с 2003 сервера на сервер под управлением 2012 R2.
Подтверждаем операцию переноса и дожидаемся ее благополучного завершения. Не забудьте проверить, что в итоге роль хозяина операций теперь находится на сервере под управлением Windows Server 2012 R2:
2. Изменение контроллера домена Active Directory
Теперь переходим к изменению контроллера домена Active Directory. Открываем консоль Active Directory Domains and Trusts, щёлкаем правой кнопкой мышки по лесу и выбираем пункт Change Active Directory Domain Controller.
В новом окне выберите пункт This Domain Controller or AD LDS instance и укажите сервер под управлением Windows Server 2012 R2.
Теперь снова щёлкаем правой кнопкой мышки по лесу и выбираем пункт Operations Master.
Переноси роль хозяина операций именования домена, нажав Change.
3. Изменение Мастера схемы (Schema Master)
Теперь приступаем к изменению мастера схемы (Schema Master). Запустите командную строку с правами Администратора и введите команду regsvr32 schmmgmt.dll
С помощью этой команды происходит первичная регистрация динамической библиотеки DLL, которая является обязательной для оснастки Active Directory Schema.
После того, как команда выполнена, можно закрыть командную строку, запустить консоль MMC и добавить оснастку Active Directory Schema (для этого выберите File > Add/Remove Snap—in).
В этой же консоли MMC щёлкаем правой кнопкой мыши по Active Directory Schema и выбираем Change Active Directory Domain Controller. Аналогично действиям, которые мы выполняли в пункте 2, в новом окне выберите пункт This Domain Controller or AD LDS instance и укажите сервер под управлением Windows Server 2012 R2 и нажмите ОК. Появится предупреждение о том, что оснастка схемы Active Directory не подключена. Нажмите ОК для продолжения.
Теперь снова щёлкаем правой кнопкой мышки по лесу и выбираем пункт Operations Master. Для переноса роли хозяина схемы в новом окне нажмите Change.
Теперь можно закрыть MMC консоль, открыть оснастку Active Directory Users and Computers и убедиться, что данные успешно реплицированы на ваш новый сервер под управлением Windows Server 2012 R2. Имейте ввиду, что процесс репликации может занять некоторое время (все зависит от количества объектов Active Directory, которые нужно реплицировать).
4. Удаление контроллера домена под управление Windows Server 2003 из глобального каталога (Global Catalog)
Осталось удалить контроллер домена под управлением Windows Server 2003 из глобального каталога. Для этого открываем Active Directory Sites and Services, разворачивает папку Sites, затем Default-First-Site-Name, затем Servers и, наконец, разворачиваем оба сервера.
Щёлкните правой кнопкой мышки по NTDS Settings для вашего старого сервера под управление Windows Server 2003, выберите Properties. Во вновь появившемся окне уберите галочку с пункта Global Catalog и нажмите ОК.
В Active Directory Users and Computers контроллер домена на Windows Server 2003 теперь не является глобальным каталогом.
Осталось проверить, что теперь роль FSMO запущена на Windows Server 2012 R2. Для этого в командной строке, открытой с правами Администратора запускаем команду netdom query fsmo
На этом миграция Active Directory завершена. На компьютере под управлением Windows Server 2003 запустите dcpromo (кстати, в Windows Server 2012 R2 dcpromo нет) для того, чтобы понизить роль компьютера с контроллера домена. Если после этого посмотреть на консоль Active Directory Users and Computers, вы увидите, что остался только один контроллер домена – под управлением Windows Server 2012 R2.
Надеюсь, что эта статья будем вам полезной!
Полезные ссылки
Теория: как перенести контроллер домена windows server 2008 R2
Теория: как перенести контроллер домена windows server 2008 R2
Теория: как перенести контроллер домена windows server 2008 R2
Теория как перенести контроллер домена windows server 2008 R2
Всем привет! Сегодня расскажу теоретическую последовательность переноса контроллера домена windows server 2008 R2. Краткий конспект по переносу DC (единственного в домене), являющегося по совместительству сервером глобального каталога и носителем ролей FSMO, на новый сервер. Никогда не создавайте себе такую ситуацию и всегда имейте, как минимум дублирующий сервер с такой же ролью. В противном случае, у вас есть все шансы полностью потерять ваше рабочее окружение.
- Делаем опись ресурсов на старом DC (чаще всего это DNS, DHCP, WINS, File Server, Print Server).
- Создаем на старом сервере резервную копию system state с помощью ntbackup.
- Инсталлируем на новый сервер Windows Server 2008 r2.
- Поднимаем его до дополнительного контроллера домена и перезагружаем.
- Поднимаем его до сервера глобального каталога и перезагружаем.
- Инсталлируем DNS-сервер на новый контроллер.
- Если на старом DC есть WINS, то инсталлируем его на новый и переносим базу данных.
- Переносим роли FSMO на новый DC.
- Снимаем роль глобального каталога со старого сервера и перезагружаем его.
- Понижаем старый контроллер до рядового сервера.
- Переносим настройки сервера печати (например, с помощью Windows Print Migrator).
- Переносим настройки файлового сервера (с помощью Microsoft File Server Migration Toolkit).
- Инсталлируем DHCP-сервер на новый контроллер и переносим на него параметры со старого (указав в параметрах сервера IP-адреса новых DNS и WINS).
- Перерегистрируем клиентские компьютеры на новый DHCP с помощью команд ipconfig /release и ipconfig /renew
Материал сайта pyatilistnik.org.
Иван Семин
Передача и захват ролей FSMO с главного контроллера домена Windows Server 2012 R2 на резервный контроллер домена Windows Server 2012 R2.
Содержание статьи:
Иногда случается что по тем или иным причинам необходимо передать или же насильно забрать роли FSMO с главного контроллера домена на резервный / новый контроллер домена. Рассмотрим на примере как это можно сделать.
Мы имеем:
- Главный контроллер домена на базе Windows Server 2012 R2 (DC1, jakonda.local, 192.168.0.2)
- Дополнительный контроллер домена на базе Windows Server 2012 R2 (DC2, jakonda.local, 192.168.0.3)
Задача:
- Главный контроллер домена DC1 начал глючить и необходимо передать права FSMO на резервный DC2. Понизить DC1 до уровня обычного сервера и вывести его использования.
- Главный контроллер домена DC1 приказал долго жить и необходимо принудительно забрать роли FSMO на резервный DC2. На DC2 подчистить все упоминания о DC1.
Добровольная передача ролей FSMO с главного на резервный контроллер домена.
Перед тем как начать, нужно проверить состоит ли пользователь от которого будут выполнятся действия, в группах Domain Admins, Schema Admin. Запускаем от администратора командную строку на дополнительном контроллере домена DC2 (рекомендуется выполнять все действия на контроллере домена, которому назначаются роли FSMO). Смотрим список имеющихся контроллеров домена:
Проверим кто является владельцем ролей FSMO:
Видим что владельцем является DC1.jakonda.local
Переносить роли будем в командной строке при помощи утилиты NTDSUTIL (инструмент управления и обслуживания каталога Active Directory).
Перед тем как переносить FSMO роли на дополнительный контроллер домена, необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory. Если этого не сделать, то роль Schema перенести не удастся.
В командной строке вбиваем:
Библиотека подключена.
Теперь приступаем к переносу ролей. В командной строке запущенную от администратора вбиваем:
Выбираем сервер котором назначать роли:
| roles connections connect to server DC2 q |
После подключения к серверу DC2 мы получаем приглашение к управлению ролями (fsmo maintenance) и передаем ему роли:
| transfer naming master transfer infrastructure master transfer rid master transfer schema master transfer pdc q |
В процессе переноса каждой роли будет запрошено подтверждение.
Аналогично проделанные выше операции по передачи ролей, можно проделать с помощью графического интерфейса. Запускаем оснастку Active Directory Users and Computers, нажимаем правой кнопкой мыши на домене и выбираем Operation Masters…
Во всех трех вкладках (RID, PDC, Infrastructure) нажимаем Change… и выбираем кому передать права, в моем случае dc2.jakonda.local
По такой же схеме заходим в оснастку Active Directory Domain and Trusts, нажимаем Operations Master… и передаем права на dc2.jakonda.local
А для того чтобы передать права на роль Active Directory Schema, запускаем консоль управления Windows (MMC), нажимаем Win + R, вбиваем mmc. В консоли управления добавляем оснастку, нажимаем File — Add/Remove Snap-in…
Выделяем оснастку Active Directory Schema, нажимаем Add > и подтверждаем добавление, ОК.
И теперь так же как и в предыдущих оснастках выполняем передачу роли.
После того как роли переданы, проверим кто теперь является владельцем всех ролей. В командной строке вбиваем:
Все роли переданы DC2.jakonda.local, как нам и нужно было.
Теперь понижаем роль AD DS на DC1 до обычного сервера. В Windows Server 2012 R2 понизить роль можно через PowerShell либо через Server Manager. Понижать роль будем через PowerShell, т.к. это удобней и быстрей. Запускаем PowerShell на DC1 и вводим:
| Uninstall-ADDSDomainController |
Будет предложено задать пароль Администратора, задаем его и подтверждаем удаление AD DS (Y).
Запустится процесс удаления AD DS, по окончании появится уведомление и системам перезагрузится.
После понижения роли на DC1, службы AD DS не удаляются и при желании можно вновь повысить DC1 до уровня контроллера домена. Теперь осталось на DC2 почистить оставшиеся следы от DC1.
На DC2 открываем оснастку Service Manager — Tools — Active Directory Sites and Services. Разворачиваем сайт где находился пониженный сервер DC1, выделяем его и выбираем Delete.
Подтверждаем два раза удаление сервера DC1. Нажимаем Yes, Yes.
Открываем оснастку Service Manager — Tools — Active Directory Users and Computers. Переходим в каталог Domain Controllers, если там отображается только наш DC2, то все нормально. А если в данном каталоге присутствует DC1, то его необходимо удалить из каталога (Мало вероятно что он там будет, после проделанных выше операций, но проверить стоит).
Открываем оснастку Service Manager — Tools — DNS. И удаляем все PTR и A записи оставшиеся от сервера DC1.
Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним. DC2 стал главным контроллером домена, а DC1 выведен из эксплуатации.
Принудительный захват ролей FSMO с главного на резервный контроллер домена.
Принудительный захват ролей FSMO выполняется практически аналогично, добровольной передачи ролей. Только в нашем случае главный DC1 сломался, не включается и т.д. Все действия по захвату ролей будем производить на исправном DC2.
Перед тем как начать, нужно проверить наличие состоит ли пользователя от которого будут выполнятся действия, в группах Domain Admins, Schema Admin.
Регистрируем в системе библиотеку управления схемой Active Directory. Запускаем от администратора командную строку и вбиваем:
Выполняем захват ролей с неисправного DC1. В командной строке запущенную от администратора вбиваем:
Входим в управление ролями и подключаемся к серверу (DC2) на который будем захватывать роли:
| roles connections connect to server DC2 q |
После подключения к серверу DC2 захватываем роли:
| seize naming master seize infrastructure master seize rid master seize schema master seize pdc q |
В процессе переноса каждой роли будет запрошено подтверждение.
Входим в управление очисткой мета-данных и подключаемся к серверу (DC2):
| metadata cleanup connections connect to server DC2 q |
Смотрим список имеющихся сайтов:
| select operation target list sites |
Выбираем сайт на котором у нас находится вышедший из строя контроллер домена DC1 и выводим список контроллеров домена в этом сайте:
| select site 0 list servers in site |
Выбираем неисправный контроллер домена DC1 и выводим список доменов:
| select server 0 list domains |
Выбираем домен и возвращаемся в меню metadata cleanup:
Выполняем удаление выбранного сервера DC1:
Теперь подчищаем оставшиеся данные от удаленного контроллера домена DC1 на DC2, как делали выше, при добровольной смене ролей FSMO.
Открываем оснастку Service Manager — Tools — Active Directory Sites and Services. Разворачиваем сайт где находился удаленный сервер DC1, выделяем его и выбираем Delete. Подтверждаем два раза удаление сервера DC1. Нажимаем Yes, Yes.
Открываем оснастку Service Manager — Tools — DNS. И удаляем все PTR и A записи оставшиеся от сервера DC1.
Таким образом мы принудительно забрали права на роли FSMO с неисправного DC1 и полностью удалили следы его существования из DNS и Active Directory на DC2 и он же стал главным контроллером домена.
Понравилась или оказалась полезной статья, поблагодари автора
Добавление контроллера домена Windows Server 2019/2016
КБ ID 0001262
Проблема
Давным-давно добавление контроллера домена, на котором была запущена более новая версия семейства Windows Server, включало открытие командной строки и подготовку схемы, подготовку GP и т. Д. Теперь все это происходит в фоновом режиме, пока мастер выполняет тяжелую работу для ты.
Решение
с 2008 по 2019 год
с 2008 по 2016 год
Очевидно, что сервер сначала должен быть членом домена!
- Для функциональных уровней леса и домена Server 2019 должен соответствовать « Windows Server 2008 ».(В документации указано 2008 R2, но Server 2008 также работает безупречно).
- Для функциональных уровней леса и домена Server 2016 должен соответствовать « Windows Server 2003 ».
Перед тем, как начать!
Помните, что если ваш «удаляемый» контроллер домена также является DNS / DHCP-сервером, вам также необходимо обратиться к нему, и убедитесь, что у вас нет службы или устройства, которое напрямую запрашивает старый контроллер домена (устройства Radius, межсетевые экраны, RSA Приборы, прокси-фильтры, программное обеспечение для дверей и т. Д.).
Процедура
При стандартной установке Server Manager будет открываться каждый раз при загрузке (если вы не отключили его!). Чтобы открыть его вручную, запустите «servermanager.exe»> «Управление»> «Добавить роли и компоненты».
Я обычно устанавливаю флажок «Пропустить эту страницу по умолчанию»> «Далее».
На основе ролей…> Далее.
Убедитесь, что выбран локальный сервер (если вы управляете другим сервером, вы, конечно, также можете выполнить установку роли отсюда, но давайте будем простыми)> Далее.
Выберите Доменные службы Active Directory> Далее.
Далее.
Далее.
Убедитесь, что выбран «Перезагрузка»> Далее.
Далее.
Повышение уровня Windows Server до контроллера домена
Вернитесь в диспетчер сервера> В разделе «Уведомления» щелкните треугольник предупреждения> «Сделать этот сервер контроллером домена».
Предположим, у вас уже есть домен, и это , а не , новое поле. Установить> Добавить контроллер домена в существующий домен> Далее.
Введите и подтвердите пароль режима восстановления служб каталогов (DSRM,), сделайте его чем-то, что вы запомните в кризисной ситуации, или надежно храните где-нибудь> Далее.
Это нормально, вы видите эту ошибку, потому что он пытается создать делегирование для этой зоны DNS, и в иерархии DNS выше вас нет сервера Windows. Например, если ваше доменное имя petelnetlive.co.uk> Тогда у меня нет доступа для создания делегирования в доменном пространстве .co.(Так что можете спокойно игнорировать)> Далее
Если у вас есть резервная копия AD, вы можете «Установить с носителя». Раньше это было удобно на удаленных сайтах с ужасной пропускной способностью, так как это избавляло вас от необходимости реплицировать большой Active Direct напрямую через «штанговое» соединение> Мне давно не приходилось делать это> Далее.
Если вы не хотите изменить расположение установки AD по умолчанию> Далее.
Далее.
Прочтите все предупреждения> Установите
Пойдите, выпейте кофе, мы отметили «перезагрузку» ранее, чтобы она завершилась, затем перезагрузите сервер, который снова станет контроллером домена.
Вы заметите (если вам интересно), что ваша версия схемы теперь 88 (Server 2019) или 87 (Server 2016).
Узнайте версию схемы домена
Статьи по теме, ссылки, источники или внешние ссылки
NA
.
Миграция контроллера домена 2003 с DHCP на 2012R2 — Статьи TechNet — США (английский)
Итак, когда жизнь Windows 2003, наконец, подходит к концу, я вижу большой толчок для обновления доменов и связанных с этим подводных камней.
Поэтому я создал пошаговое руководство, чтобы облегчить этот процесс и избежать распространенных проблем.
Я включил DHCP в это сообщение из-за большого количества серверов
Я вижу, что это контроллеры домена и DHCP-серверы. Если вы получаете DHCP с другого устройства, например с другого сервера или маршрутизатора,
Изложенные шаги по-прежнему применимы в отношении изменения DNS-сервера, чтобы он указывал на новый DC, прежде чем вы списываете старый
ОКРУГ КОЛУМБИЯ.
Моя среда в начале миграции: DC01.matrix.local
- ОС: Windows 2003 x86 SP1
- IP : 192.168.90.1
- Подсеть : 255.255.255.0
- GW : Нет — полностью изолированная среда
- DNS: 192.168.90.1 Сервисы для клиенты — DHCP, DNS,
Active Directory - DHCP выглядит так:
Примечание |
---|
Исключен диапазон 192.168.90.1 — 192.168.90.50, поскольку именно так я обычно развертываю DHCP — статически необходимые IP-адреса будут в пределах исключенного диапазона. Примеры: маршрутизаторы, серверы. и принтеры. |
- Зоны DNS выглядят так:
На самом деле здесь все по умолчанию, за исключением того, что я добавил обратную зону. Matrix.local и обратная зона реплицируются на все DNS-серверы в домене, а зона _msdcs реплицируется на все DNS-серверы в лесу.
Client01.matrix.local
- OS : Windows 8.1 (я выбрал эту, поскольку клиентские машины, как правило, получают новые вещи, особенно сейчас, с помощью движения BYOD или Bring Your Own Device)
- IP: Динамически назначается DC01
- Подсеть: Динамически назначается DC01
- GW: Нет — полностью изолированная среда Client01 присоединен к домену и может аутентифицироваться, получать доступ к DNS и получать IP-адрес — аутентифицированный пользователь — Mr.Testy Tester или Matrix \ TTester
- DC02.matrix.local
- ОС: Windows 2012R2
- IP: Динамически назначается DC01
- Подсеть: Динамически назначается DC01
- GW — : изолированная среда
- DNS: 192.168.90.1
Хорошо, давайте рассмотрим некоторые элементы конфигурации, чтобы начать работу.
Всегда лучше проверять работоспособность активного каталога, чтобы убедиться, что к вам не подкрасться.Если он не установлен и у вас есть установочный компакт-диск для 2003, установите инструменты поддержки с компакт-диска: \ Support \ Tools \ SUPTools.msi или загрузите с
http://www.microsoft.com/en-us/download/details.aspx?id=15326.
- Из командной строки запустите netdom query fsmo, как показано ниже:
- Это позволяет узнать, где находятся fsmo — если в какой-либо из них есть ошибка, из-за которой невозможно найти держателя роли,
остановите , потому что вам, вероятно, потребуется захватить роль и выполнить очистку метаданных.Захватить роль FSMO —
http://support.microsoft.com/kb/255504/en-us - Прогон является «чистой долей»
В этих двух общих папках хранятся ваши групповые политики, и если они отсутствуют, ваш DC не будет действовать как контроллер домена и не будет аутентифицировать пользователей.
- Запустите repadmin / showreps — если у вас сейчас только 1 постоянный ток, я ожидаю, что результат будет выглядеть так:
Проверьте журналы событий на наличие ошибок, касающихся Active Directory, службы репликации файлов, входа в сеть, времени
- Служба каталогов
- Система
- Служба репликации файлов
Если все выглядит нормально, мы готовы ввести в среду наш сервер 2012 R2.Если есть ошибки, остановитесь и исследуйте!
- Статически установить IP-адрес сервера. Мой IP-адрес будет 192.168.90.2 / Подсеть будет 255.255.255.0 / Без шлюза / DNS
192.168.90.1Примечание У меня нет шлюза, потому что в моей тестовой среде нет доступа к Интернету, скорее всего, в вашей среде он есть, поэтому у вас, скорее всего, будет шлюз. - Переименуйте сервер и присоедините домен к вашему серверу 2012R2
- После того, как вы нажмете ОК, вам будет предложено ввести учетные данные — введите учетные данные своей учетной записи администратора домена и нажмите ОК. Если вы получили сообщение вроде:
После перезагрузки сервера войдите в систему как учетную запись администратора домена. Примечание. Если вы используете учетную запись администратора по умолчанию, войдите в Windows с помощью Domain \ Administrator, поскольку Windows по умолчанию изменит домен на локальный, когда обнаружит локальную учетную запись с
одно и то же имя. - Когда появится Диспетчер серверов, нажмите «Управление», «Добавить роли и компоненты».
- Появится мастер добавления ролей и компонентов — нажмите «Далее».
- Убедитесь, что выбрана установка на основе ролей или функций, и нажмите «Далее».
- Убедитесь, что ваш сервер — это выбранный сервер, затем нажмите «Далее»
- Выберите доменные службы Active Directory, во всплывающем окне нажмите «Добавить компоненты», затем нажмите «Далее».
- Нажмите «Далее» на странице характеристик.
- Нажмите Далее на странице AD DS.
- Затем нажмите Установить
- Когда это завершится, нажмите «Закрыть», вы вернетесь на экран диспетчера серверов — нажмите «Флаг» в верхнем меню и выберите ссылку для повышения уровня сервера до контроллера домена:
- Это запустит процесс, чтобы сделать его контроллером домена
Убедитесь, что информация о домене, Добавить контроллер домена в существующий домен и текущий администратор домена указаны правильно.
- Сейчас самое время убедиться, что пользователь, выполняющий повышение, является членом группы Enterprise Admins и Schema Admins на контроллере домена 2003.
Членство в этих двух группах позволит вам продвинуть DC в домен и выполнить необходимые обновления схемы / леса / домена, необходимые для 2012 R2.
- При нажатии кнопки «Далее» в мастере настройки доменных служб Active Directory возникла ошибка.
Исправить эту проблему довольно просто, нам просто нужно поднять функциональность домена и леса до 2003
- Открытые домены и доверие на контроллере домена 2003. Щелкните правой кнопкой мыши Active Directory Domains and Trusts, выберите Raise Forest Functional Level, если вы
получить сообщение типа:Сначала вам необходимо выполнить функциональный уровень домена.
- Откройте Active Directory — пользователи и компьютеры. Щелкните правой кнопкой мыши домен слева и выберите «Поднять».
Функциональный уровень домена
Выберите Windows Server 2003 в раскрывающемся списке и нажмите «Поднять
».
- После этого репликация завершится, если у вас более одного контроллера домена. Вернитесь в раздел «Домены и доверие». Щелкните правой кнопкой мыши.
и поднять функциональный уровень лесаОпять же, если имеется более одного контроллера домена, репликация может занять минуту, в противном случае это изменение происходит очень быстро.
- Теперь мы готовы снова попробовать процесс продвижения. Нажмите «Далее» в конфигурации развертывания.
Примечание Мы получаем предупреждение о том, что в домене нет контроллеров домена 2008, поэтому этот сервер не сможет стать контроллером домена только для чтения. Это просто предупреждение и не о чем беспокоиться
около. - Введите пароль для режима восстановления служб каталогов и нажмите «Далее».
- В разделе DNS есть еще одно предупреждение о делегировании DNS, проигнорируйте его и нажмите Далее
- Дополнительные параметры: нажмите Далее
- В разделе «Пути» измените любые пути или примите значения по умолчанию и нажмите «Далее».
- В разделе «Параметры подготовки» нажмите «Далее».
- В разделе «Параметры просмотра» нажмите «Далее».
- После выполнения проверки предварительных требований щелкните Установить
- После нажатия кнопки установки лес и домен будут подготовлены к 2012 году.После завершения установки сервер перезагрузится и станет контроллером домена в вашем домене.
- Одна из первых вещей, которые нужно проверить, — это то, что общие ресурсы Netlogon и Sysvol Запустить общий ресурс из PowerShell
- Запустите repadmin / showreps — обратите внимание, на этот раз мы получаем намного больше информации
- Давайте также проверим, что на сервере 2003
- Давайте проверим DNS на новом сервере 2012R2
Здесь вы хотите убедиться, что оба DC имеют записи SRV внутри dns.Записи SRV — это то, как клиенты находят доступные DC в
который использовать для аутентификации. Вы также можете проверить, что те же записи появляются на сервере 2003. - Проверьте журналы событий
- Откройте «Пользователи и компьютеры Active Directory», создайте тестового пользователя и убедитесь, что он реплицируется с 2012 по 2003 год, затем промойте и повторите с 2003 по 2012 год.
- Откройте консоль управления групповыми политиками и проверьте все предполагаемые групповые политики.
Перенести роли FSMO на новый сервер
- PDC — http: // technet.microsoft.com/en-us/library/cc739670(v=WS.10).aspx
- RID — http://technet.microsoft.com/en-us/library/cc781063(v=ws.10).aspx
- Инфраструктура — http://technet.microsoft.com/en-us/library/cc782485(v=ws.10).aspx
- Мастер именования доменов — http://technet.microsoft.com/en-us/library/cc738685(v=ws.10).aspx
- Схема — http://technet.microsoft.com/en-us/library/cc759254(v=ws.10).aspx
Перенос служб DHCP на новый сервер
- Установите компонент на сервер 2012R2.
- В диспетчере серверов нажмите «Управление», «Добавить роли и компоненты»
- На основе ролей или функций — нажмите «Далее»
- Подтвердить, что выбран 2012 г. Нажмите «Далее»
- Выберите DHCP из списка, Нажмите «Добавить компоненты» из всплывающего окна, нажмите «Далее»
- Нажмите «Далее»
- Нажмите «Далее»
- Нажмите «Установить»
- Настройте область действия для DHCP (я сознательно разбил это на три отдельных этапа: настройка DHCP на новом сервере, деактивация старого сервера и активация нового сервера — это позволяет планировать переключение в соответствии с графиком миграции. .При фактической миграции я бы снизил время аренды до очень короткого 2 дня, чтобы клиенты могли продлевать аренду с нового сервера без административного вмешательства.
- Нажмите Завершить настройку DHCP
- Нажмите Далее
- Выберите Пропустить авторизацию AD (у нас уже есть авторизованный DHCP-сервер)
- Выбрать фиксацию
- Выбрать инструменты, DHCP
- В DHCP
MMC, развернуть до
IPv4, щелкните правой кнопкой мыши и выберите New Scope. - В Мастере создания новой области выберите Далее
- Назовите новую область действия и нажмите Далее
- Настройте диапазон и нажмите Далее
- Настройте диапазон исключения
- Установите срок аренды
- Выберите «Да», чтобы настроить параметры области, нажмите «Далее».
- Установите адрес шлюза
- На серверах доменного имени и DNS удалите все старые DNS-серверы, чтобы отображался только новый сервер 2012
- Оставьте поле Wins пустым, нажмите «Далее»
- При активации области выберите «Нет», я активирую эту область позже, затем выберите «Далее»
- Нажмите Finish
- Щелкните правой кнопкой мыши область действия и выберите «Деактивировать» — я деактивирую область действия — в случае повторной авторизации сервера позже — сервер не начнет автоматически выдавать IP-адреса.
- Щелкните правой кнопкой мыши на сервере и отмените авторизацию
- В DHCP MMC щелкните правой кнопкой мыши имя сервера и выберите «Авторизовать».
- Щелкните правой кнопкой мыши по области и выберите Активировать
- Консоль DHCP должна выглядеть примерно так:
- Проверьте текущие настройки, обратите внимание, что аренда старого сервера все еще в силе, поэтому этот клиент еще не запрашивал продление аренды, это важно, потому что DNS-сервер для клиента изменился — если бы мы понизили 2003 сервер на этом
время у клиентов возникнут проблемы с разрешением и аутентификацией - На клиенте запустите IPConfig / Release
- На клиенте запустить IPconfig / обновить
- Затем убедитесь, что сервер 2012 R2 передал клиентам IP-адрес
После обновления всех FSMO, DHCP для всех клиентов выключите старый сервер на несколько дней, чтобы убедиться, что ничего не было пропущено, и что клиенты могут пройти аутентификацию в Active Directory, выйти в Интернет и т. Д.
- Запустите DCPromo на 2003, нажмите Далее
- Не выбирайте это последний контроллер домена в домене, нажмите Далее
- Введите новый пароль локального администратора, нажмите Далее
- Нажмите Далее на итоговом экране
- Active Directory будет удалена, и сервер будет перезагружен.
Заключение: Подготовка к миграции и проверка работоспособности среды сэкономят вам еще много часов разочарований, потери производительности и потенциального дохода.Хотя это еще не конец задач, которые необходимо выполнить, приходит Служба времени.
на ум — выполнение этих простых вещей облегчит задачу.
Active Directory: глоссарий
.
r2con2020
.- [ɹ ◁◁] ——————-. Купить товар, отправив письмо на адрес [email protected] www.camisetasfrikis.es/31-radare
| ___ ___ ___ ___ _ _ | _____________________________________________________________
| | _ \ (__ \ _ | | \ | | | |
| | (/ __ / (_, 0 | | | Когда: 4 дня в сентябре (с 2020-09-02 по 2020-09-05) |
| | _ \ __ | ___ | ___ | ___ | _ | \ _ | | Расписание: доклады доступны в формате PDF ICS Google web (GMT + 2) |
| ____ ___ ____ ___ | Стоимость билетов: $ 0: D |
| (__ \ / \ (__ \ / \ | CFP: закрыто |
| / __ / 0 / __ / 0 | | Анонсы: Twitter, Telegram |
| | ____ | \ ___ / | ____ | \ ___ / | Свяжитесь с нами по почте, Telegram |
| | Вечеринка: Концерт Chiptune и виртуальное пиво |
`—.——————— ‘|
_ | |
| _ | — + — [КОНФЕРЕНЦИЯ] —————————————- ————————— (
| |
| Благодаря глобальной пандемии COVID19 мы решили провести конференцию онлайн. |
| Где youtube.com/c/r2con |
| |
| r2con — ежегодная конференция о radare2 |
| Конференция призвана собрать всех пользователей и разработчиков r2 со всего мира, чтобы |
| насладиться 4-дневным мероприятием, полным экспериментов, взлома, обучения, обсуждения и кодирования |
| веселиться и пить пиво (безопасно дома).|
| |
| Поскольку в этом году # r2con2020 онлайн, нет ограничений по месту проведения, |
| поэтому нет необходимости записываться на мастер-классы Hexploitable или Тима !! |
| |
_ | |
| _ | — + — [СОРЕВНОВАНИЯ] —————————————- ————————- (
| |
| Как и в предыдущих выпусках, мы их будем держать, но в удаленном режиме, и призы |
| для победителей будут отправлены прямо домой бесплатно.(см. ниже) |
| |
| * r2wars — ассемблерная игра в стиле кодовых войн поверх r2 |
| * Hackathon — исправляем ошибки и внедряем вещи в r2 |
| * CTF — захватите проблемы с изменением флага, чтобы решить их с помощью r2 |
| * GSoC — Google Summer of Code 2020 |
| * Авторы — Участники конференции |
_ | |
`————————————————- ———————————- ‘
График
Чиптюн
В субботу вечером (GMT + 2) мы закроем конференцию концертом chiptune!
Большое спасибо 5 чудесным артистам chiptune, которые будут выступать вживую для всех нас!
@alexwiklund
Делает музыку для видеоигр из Швеции.Посмотреть его музыку можно здесь https://alexwiklund.bandcamp.com/album/decade
и его инста здесь https://instagram.com/wiklundmusic
@ the4Dboy
Пишет электронную музыку с помощью GameBoy и электронных устройств,
проверьте его музыку здесь https://the4dboy.bandcamp.com/album/think-doubt-feel-flow-vol-1
и его инста здесь https://instagram.com/the4dboy
@ Klirre8bit
Клирре пишет музыку на своем Gameboy, используя исключительно Nanoloop 1.
Смотрите его музыку здесь https://klirre.bandcamp.com/album/crush
и его инстаграм здесь https: // instagram.com / mariohamborg
@ 0x3D63
Композитор и звукорежиссер, специализирующийся на музыке пост-киберпанка.
Посмотрите ее фантастическую музыку в стиле чиптюн здесь https://3d63.bandcamp.com/album/electric-pawer
и ее инстаграм здесь https://instagram.com/0x3d63
@neuroflip
С 90-х занимается созданием трековой музыки на компьютерах C64 и Amiga.
Посмотреть его музыку как классную музыку можно здесь https://neuroflip.bandcamp.com/album/robot-gang
и его инстаграм здесь https://instagram.com/neuroflip
r2wars
Присоединяйтесь к каналу Telegram здесь, чтобы связаться со скейтером и загрузить своего бота для соревнований!
— Тренировочные раунды проводятся в среду, четверг и пятницу в 17:00 GMT + 2.
— Финальный раунд плей-офф состоится в субботу в 17:00 GMT + 2.
— Призы будут разыграны 3 участникам.- Все победители будут объявлены во время заключительного выступления аферы.
Эта игра вдохновлена CoreWar, но работает поверх эмуляции ESIL от radare2.
Для победы отправьте своих ботов, написанных на ассемблере (на этот раз мы будем принимать x86-32, arm64,
arm32, mips), который будет работать в том же пространстве памяти, пытаясь вызвать сбой другого бота
развращает их память.
Чтобы узнать больше, перейдите по следующим ссылкам:
* https://github.com/radareorg/r2wars
* https://www.youtube.com/results?search_query=r2wars
* https: // github.com / radare / radare2 / label / r2wars
Хакатон
Этот конкурс заключается в исправлении как можно большего количества проблем, помеченных как
«хакатон» в репозитории radare и репозитории катеров.
Для новых людей, желающих принять участие в Хакатоне, мы предлагаем проверить
проблемы с пометкой «хороший первый выпуск»:
* 1-й выпуск radare2
* Резак 1-го выпуска
Для участия в хакатоне radare2CON 2020 используйте лейблы:
* метка хакатона radare2
* этикетка с резаком
CTF
— Регистрация в четверг, 3 сентября, ночью (GMT + 2), читайте свежие новости в твиттере под # r2con2020 #ctf
ctf.radare.org
— Индивидуальный CTF.
— Все уровни сложности: базовый, средний и сложный.
— CTF на r2con касается реверсирования. Вы можете столкнуться с криптовалютой, мобильными устройствами и другими, но всегда связаны с реверсированием
— Использование резака для захвата флажков разрешено.
— Все задачи решаемы без подключения к серверу.
— Все задачи должны быть решены с помощью radare2, будет запрошено сообщение!
— CTF будет закрыт в последний день r2con2020, 5 сентября.
— Будут вручены призы за 3 наивысших балла.- Все победители будут объявлены во время заключительного выступления аферы.
Присоединяйтесь к каналу Telegram здесь
R2Con CTF — это соревнование в стиле Jeopardy CaptureTheFlag, которое необходимо решить с помощью r2.
Вам дается несколько вопросов, задач и задач, относящихся к разным категориям
RE, которую можно решить с помощью radare2. Игроки получают очки, решая их. Использование подсказок
для решения задач снижает оценку.
GSoC
Это седьмой конкурс Summer Of Code для radare2, на этот раз нас приняли
Google в GSoC, что дает возможность некоторым студентам
узнайте больше о C, реверс-инжиниринге и самой r2 благодаря нашему наставничеству.Чтобы узнать больше об этом, перейдите по этой ссылке: https://www.radare.org/gsoc/2020
Отобранные студенты представят свои работы в конце лета во время r2con.
Участники конференции
Компьютерные колонки
Основная презентация @trufae
r2war для новичков @CaptnBanana
турнир r2wars @sanguinawer
Полуинтерактивное упрощение защищенного вредоносного ПО для Android @malwarecheese
Смягчение подписей r2 @bemodtwz @bmorphism
Radare2 & Gophers — анализ двоичных файлов Go с помощью r2 hex0punk https: // github.com / hex0punk
ESILSolve: символьный механизм выполнения, использующий ESIL @alkalinesec
Введение в обратный инжиниринг глубоко встроенных устройств Бенджамин
Ладно, тебе тоже не нравится шеллкод? @ malwaremustd1e
В radare2 / c означает криптографию @Pelissier_S
Моделирование побочного канала ESIL @Pelissier_S @ _Az0x_ @Baldanos
Обзор безопасности 1300 приложений AppStore @janseredynski
От оборудования к нулевому дню @ 0xsysenter
Символическая казнь в radare2 Чейз Канипе
Где мой выкуп? Охота на банды вымогателей с помощью r2 и Yara @kgbuquerin
Кодовое имя: флип.re @zutle
Тренеры мастерской
Мобильный обратный инжиниринг с R2frida (https://github.com/nowsecure/r2frida)
@ as0ler @enovella_ @hexploitable
Полуавтоматическая деобфускация кода @mr_phrazer
Наставники GSoC 2020
Антон Кочков Флориан Меркл kazarmy karliss deroad Итай Коэн йоссизап
Студенты GSoC 2020
Улучшения отладчика @abc_sup
Бэкэнд дизассемблера SLEIGH Jiaxiang Zhou
Улучшения анализа типов @ h0un6
Виджет декомпилятора и r2ghidra-dec @nirmalmanoj_c
Захват флага
Алекс Солер Эдуардо Новелла Марио Вилас Тони Торральба
Элои Санфеликс Гаутам Грант Дуглас Роберто
Турнир r2wars @skuater @pancake
r2wars super cute logo & talk для новичков @CaptBanana
Исполнители Chiptune
Воспроизведение живой музыки в ваших ушах с помощью @neuroflip @ 0x3D63 @ Klirre8bit @ the4Dboy @alexwiklund
.